问题
最近因为工做变更,我又开始搞 Java 后台了(作回老本行)。目前第一个工做项目是搞一个用户认证中心,因而便一脚踏入了 Spring Security 的坑里面。其实当下比较流行的一套解决方案就是 Spring Security + Oauth2.0 + JWT 方式。但是当我开始集成 Spring Security 和 Oauth2.0 的时候,我眉头一皱忽然发现这个事情不简单。java
<!--more-->git
在建立 Springboot 工程时,能够选择如下的 Oauth2.0 依赖:github
spring-boot-starter-oauth2-client spring-boot-starter-oauth2-resource-server spring-cloud-starter-oauth2
我心想咋还这么多依赖包呢。本着面向百度编程的原则,从一众“天下文章一大抄”的博客里发现他们还用的是另外两个依赖:spring
spring-security-oauth2 spring-security-oauth2-autoconfigure
这我就头大了啊,咋还整得这么复杂呢。因此只能去扒官方文档了。编程
官方文档解释
看到 Spring 官方对于 Oauth2.0 的解释,他说了这么一句服务器
The Spring Security OAuth project is deprecated. The latest OAuth 2.0 support is provided by Spring Security. See the OAuth 2.0 Migration Guide for further details.框架
也就是说原来的 Spring Security OAuth2.0 已经废弃了,有关 OAuth2.0 的支持已经集成到了 Spring Security 里面了。这我就懵了。。。emmm。也就是说如今若是使用spring-security-oauth2,里面大部分方法都是被横线划掉的(被废弃的)。为啥要这样呢?ide
后来本着吃瓜的心态,扒了扒 OAuth 和 Spring 社区的历史。发如今 2018 年,Spring 社区就发布了声明,说是要逐渐中止现有的 OAuth2 支持,而在 Spring Security5 中构建下一代 OAuth2.0 支持。缘由是Oauth2 落地混乱:Spring Security OAuth、Spring Cloud Security、Spring Boot 1.5.x 以及当时最新的 Spring Security5.x 中都提供了对 OAuth2 的实现。所以官方要统一放在一个地方。spring-boot
我想,这是个好事啊,省的让你们不知道使用哪个了。固然官方也是很给力,不只完成了对 Oauth2.0 的支持,也加入了 OpenID Connect1.0 的支持。可是呢,社区又来了个骚操做:宣布再也不支持受权服务器。由于官方认为受权服务器是一种产品形态,并不是框架该完成的,其次目前已经有不少商用和开源的受权服务器了(例如 Keycloak、Okta)。可是一众开发者不服啊,在社区里进行激烈讨论。因而官方妥协,发起了新的项目 spring-authorization-server,目前已经迭代到了0.0.3版本。ui
现状 & 迁移
吃完瓜,来看看这几个包如今是什么状态。
spring-security-oauth2 -> 被废弃,建议不使用,不然后期没法维护 spring-security-oauth2-autoconfigure -> 自动配置,没有用处 spring-boot-starter-oauth2-client -> 最新 spring-boot-starter-oauth2-resource-server -> 最新 spring-cloud-starter-oauth2 -> 引用 spring-security-oauth2,但还没有标注被废弃
这样就比较明确了,如今的项目中须要依据该服务的用途去引用对应的包。
受权服务器
若是服务想作成受权服务器,暂时只能引用spring-cloud-starter-oauth2。由于这个包也是引用了spring-security-oauth2,但还没有标注@Deprecated,而后仍旧使用@EnableAuthorityServer注解进行配置。等待spring-authorization-server成熟,须要切换过来。
客户端
如今若是要开发客户端,只须要引用spring-boot-starter-oauth2-client,也只须要在原来的 SpringSecurity 的配置类中,调用.oauth2Client()便可配置,不须要之前的@EnableOAuth2Client注解了。
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login")
.failureUrl("/login-error")
.permitAll()
.and()
.oauth2Client(); //
}
}
除此以外,也须要配置WebClient 和 OAuth2AuthorizedClientManager这两个 Bean。具体如何实现,先挖个坑,之后再填。
资源服务器
资源服务器也只须要引用spring-boot-starter-oauth2-resource-server,若使用 JWK 方式,其配置以下(也仅仅是调用.oauth2ResourceServer())
@Configuration
@EnableWebSecurity
public class MySecurityConfig extends WebSecurityConfigurerAdapter {
@Value("${spring.security.oauth2.resourceserver.jwt.jwk-set-uri}")
private String jwkSetUri;
@Override
protected void configure(HttpSecurity http) throws Exception{
http
.oauth2ResourceServer(OAuth2ResourceServerConfigurer::jwt)
.csrf().disable()
.authorizeRequests()
.antMatchers("/message/**").hasAuthority("SCOPE_all")
.anyRequest().authenticated();
}
@Bean
JwtDecoder jwtDecoder() {
return NimbusJwtDecoder.withJwkSetUri(this.jwkSetUri).build();
}
}
这样一下就清爽不少了。具体如何迁移,也能够参考官方文档 OAuth 2.0 Migration Guide。